Luka wynika z błędu granicznego podczas przetwarzania pola adresu e-mail w certyfikacie X.509. Zdalny atakujący może dostarczyć aplikacji specjalnie spreparowany certyfikat, wywołać 4-bajtowe przepełnienie bufora i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może skutkować całkowitym złamaniem luki w systemie, ale wymaga podpisania złośliwego certyfikatu przez urząd certyfikacji lub kontynuowania weryfikacji certyfikatu przez aplikację pomimo niepowodzenia utworzenia ścieżki do zaufanego wystawcy.
Numer CVE
CVE-2022-3786
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Luka wynika z błędu granicznego podczas przetwarzania długości pola adresu e-mail w certyfikacie X.509. Osoba atakująca zdalnie może dostarczyć specjalnie spreparowany certyfikat do aplikacji, spowodować przepełnienie bufora i awarię aplikacji.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny